Tiếp tục hoàn thiện hành lang pháp lý cho công tác bảo vệ dữ liệu cá nhân
Bộ Công an đang tổ chức lấy ý kiến góp ý của các cơ quan, tổ chức và cá nhân đối với dự thảo Nghị định quy định chi tiết một số điều của Luật Bảo vệ dữ liệu cá nhân.
Ngày 26/6/2025, tại Kỳ họp thứ 9 Quốc hội khóa XV đã thông qua Luật Bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 1/1/2026. Ngày 14/7/2025, Thủ tướng Chính phủ ban hành Quyết định số 1526/QĐ-TTg ban hành danh mục và phân công cơ quan chủ trì soạn thảo văn bản quy định chi tiết thi hành các luật, nghị quyết được Quốc hội khóa XV thông qua tại Kỳ họp thứ 9, trong đó giao Bộ Công an xây dựng và trình Chính phủ dự thảo nghị định quy định chi tiết một số điều của Luật Bảo vệ dữ liệu cá nhân, quy định chi tiết khoản 2 và khoản 3 Điều 2; khoản 5 Điều 4; khoản 3 Điều 6; khoản 5 Điều 9; khoản 3 Điều 17; khoản 7 Điều 20; khoản 7 Điều 21; khoản 4 Điều 22; khoản 5 Điều 23; khoản 3 Điều 27; khoản 6 Điều 30; điểm b khoản 4 Điều 31; khoản 3 Điều 33; Điều 35; khoản 4 Điều 38 Luật Bảo vệ dữ liệu cá nhân. Việc quy định chi tiết các nội dung trên nhằm hướng dẫn các đối tượng thuộc phạm vi điều chỉnh tuân thủ đúng các quy định của Luật Bảo vệ dữ liệu cá nhân, bảo đảm sự chính xác, thống nhất, nghiêm minh và công bằng của pháp luật.
Theo Bộ Công an, dữ liệu cá nhân là một trong những nguyên liệu chính để thực hiện chuyển đổi số, phát triển kinh tế số, xây dựng xã hội số. Cơ sở hạ tầng không gian mạng phát triển nhanh và ngày càng hoàn thiện, tạo điều kiện thuận lợi cho các ngành, nghề, dịch vụ kinh doanh có liên quan tới dữ liệu cá nhân phát triển. Dữ liệu cá nhân từ vị trí chưa thực sự quan trọng, trở thành nguyên liệu chính cho hoạt động của các ngành, nghề, dịch vụ nêu trên và ngày càng chiếm vị trí quan trọng trong tổng thể lĩnh vực tạo ra giá trị lợi nhuận cao trong nền kinh tế quốc dân. Sự phát triển một số công nghệ mới cũng đặt ra yêu cầu phải bảo vệ dữ liệu cá nhân, như: Xử lý dữ liệu lớn, trí tuệ nhân tạo, điện toán đám mây, blockchain, vũ trụ ảo...
Bên cạnh đó, tình trạng lộ, lọt dữ liệu cá nhân vẫn diễn ra phổ biến trên không gian mạng. Nhận thức về bảo vệ dữ liệu cá nhân còn hạn chế, chưa phù hợp với tình hình thực tế, là nguyên nhân chính dẫn tới tình trạng lộ, lọt, chiếm đoạt thông tin cá nhân, buôn bán dữ liệu cá nhân...
Qua thực tiễn triển khai công tác bảo vệ dữ liệu cá nhân theo Nghị định số 13/2023/NĐ-CP thấy, hiện có nhiều tổ chức, doanh nghiệp thu thập thừa dữ liệu cá nhân so với ngành nghề, sản phẩm, dịch vụ kinh doanh, thiếu cơ sở pháp lý khi thu thập dữ liệu cá nhân, không xác định được các luồng xử lý dữ liệu. Nhiều hoạt động thu thập, xử lý dữ liệu cá nhân mà chưa có sự đồng ý của chủ thể dữ liệu, không thể lấy ý kiến về sự đồng ý đối với những dữ liệu cá nhân đã thu thập.... Việc thực hiện các nghĩa vụ trong quá trình xử lý dữ liệu cá nhân như xây dựng hồ sơ đánh giá tác động xử lý dữ liệu cá nhân, đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài, thông báo vi phạm về bảo vệ dữ liệu cá nhân vẫn còn nhiều lúng túng, chậm trễ; công tác đào tạo, tập huấn về bảo vệ dữ liệu cá nhân trong các tổ chức chưa được tiến hành thường xuyên.... Những hạn chế, thiếu hiệu quả khi triển khai tuân thủ Nghị định số 13/2023/NĐ-CP sẽ được giải quyết thông qua việc cụ thể hóa, quy định chi tiết các nội dung liên quan trong Luật Bảo vệ dữ liệu cá nhân theo hướng đầy đủ, rõ ràng hơn.
Như vậy, từ những vấn đề nêu trên, nhằm triển khai hiệu quả Luật Bảo vệ dữ liệu cá nhân, đáp ứng yêu cầu bảo vệ quyền con người, quyền riêng tư; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức; nâng cao nhận thức và hình thành văn hóa bảo vệ dữ liệu cá nhân, xác định rõ ràng trách nhiệm của các cơ quan, tổ chức, cá nhân trong hoạt động xử lý dữ liệu cá nhân, việc ban hành nghị định quy định chi tiết một số điều Luật Bảo vệ dữ liệu cá nhân là hết sức cần thiết. Việc xây dựng dự thảo Nghị định quy định chi tiết một số điều Luật Bảo vệ dữ liệu cá nhân nhằm mục đích nhằm hướng dẫn, cụ thể hóa một số nội dung trong Luật Bảo vệ dữ liệu cá nhân nhằm tiếp tục hoàn thiện hành lang pháp lý cho công tác bảo vệ dữ liệu cá nhân, nâng cao hiệu quả triển khai thi hành Luật, phát huy giá trị, ý nghĩa thực tiễn của Luật, góp phần năng lực bảo vệ dữ liệu cá nhân cho các tổ chức, cá nhân trong nước tiếp cận trình độ quốc tế, khu vực; đẩy mạnh sử dụng dữ liệu cá nhân đúng pháp luật phục vụ phát triển kinh tế, xã hội.
Dự thảo Nghị định quy định chi tiết một số điều của Luật Bảo vệ dữ liệu cá nhân gồm 5 chương, 34 điều, quy định chi tiết khoản 2, khoản 3 Điều 2; khoản 5 Điều 4; khoản 3 Điều 6; khoản 5 Điều 9; khoản 3 Điều 17; khoản 7 Điều 20; khoản 7 Điều 21; khoản 4 Điều 22; khoản 5 Điều 23; khoản 3 Điều 27; khoản 6 Điều 30; điểm b khoản 4 Điều 31; khoản 3 Điều 33; Điều 35; khoản 4 Điều 38 Luật Bảo vệ dữ liệu cá nhân.
Trong đó, chương I quy định chung gồm 4 điều (Điều 1 tới Điều 4), quy định về phạm vi điều chỉnh, đối tượng áp dụng, dữ liệu cá nhân cơ bản, dữ liệu cá nhân nhạy cảm. Chương II về yêu cầu, điều kiện bảo vệ dữ liệu cá nhân, gồm 13 điều (Điều 5 tới Điều 17) quy định về yêu cầu, thời hạn khi thực hiện các quyền của chủ thể dữ liệu, hình thức thể hiện sự đồng ý của chủ thể dữ liệu cá nhân; chuyển giao dữ liệu cá nhân; bảo vệ dữ liệu cá nhân trong một số lĩnh vực Luật giao quy định chi tiết; điều kiện, nhiệm vụ của nhân sự bảo vệ dữ liệu cá nhân, bộ phận bảo vệ dữ liệu cá nhân trong cơ quan, tổ chức; dịch vụ bảo vệ dữ liệu cá nhân; tổ chức đủ năng lực đào tạo về bảo vệ dữ liệu cá nhân. Chương III về hồ sơ, trình tự, thủ tục về dữ liệu cá nhân, gồm 10 điều (Điều 18 tới Điều 27) quy định về điều kiện, trình tự, thủ tục, thành phần, cập nhật hồ sơ đánh giá tác động chuyển dữ liệu cá nhân xuyên biên giới, hồ sơ đánh giá tác động xử lý dữ liệu cá nhân; dịch vụ xử lý dữ liệu cá nhân, điều kiện, trách nhiệm của tổ chức kinh doanh dịch vụ xử lý dữ liệu cá nhân và hồ sơ, trình tự, thủ tục về việc cấp giấy chứng nhận đủ điều kiện kinh doanh dịch vụ xử lý dữ liệu cá nhân; thông báo vi phạm quy định về dữ liệu cá nhân, vi phạm đối với dữ liệu vị trí cá nhân và dữ liệu sinh trắc học. Chương IV về thực thi công tác bảo vệ dữ liệu cá nhân, gồm 4 điều (Điều 28 tới Điều 31) quy định Cơ quan chuyên trách bảo vệ dữ liệu cá nhân; trách nhiệm thực hiện hợp tác quốc tế về bảo vệ dữ liệu cá nhân; kiểm tra hoạt động bảo vệ dữ liệu cá nhân; kinh phí bảo đảm. Chương V quy định về tổ chức thực hiện.
Toàn văn dự thảo nghị định được đăng trên Cổng Thông tin điện tử Bộ Công an để lấy ý kiến của nhân dân trong thời gian 10 ngày kể từ ngày 16/9/2025.